{"id":16170,"date":"2021-01-05T16:03:01","date_gmt":"2021-01-05T16:03:01","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16170"},"modified":"2021-01-05T16:03:01","modified_gmt":"2021-01-05T16:03:01","slug":"cyberpunk-2077-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cyberpunk-2077-ransomware\/16170\/","title":{"rendered":"Malware cach\u00e9 dans Cyberpunk 2077"},"content":{"rendered":"

Le jeu Cyberpunk 2077 venait juste de sortir pour Windows et les diff\u00e9rentes consoles que nous trouvions d\u00e9j\u00e0 des \u00ab\u00a0versions b\u00eata pour Android\u00a0\u00bb sur Internet. Le t\u00e9l\u00e9chargement \u00e9tait gratuit depuis le site cyberpunk2077mobile[.]com. Le vrai d\u00e9veloppeur du jeu devait encore annoncer s\u2019il y aurait une version mobile du jeu alors nous avons d\u00e9cid\u00e9 de mener l\u2019enqu\u00eate.<\/p>\n

Cyberpunk 2077 pour Android ? Non, c\u2019est un ransomware<\/h2>\n

Le site qui propose la soi-disant version mobile du jeu ne ressemble en rien au site officiel de Cyberpunk 2077. On dirait plut\u00f4t Google Play. Les cr\u00e9ateurs expliquent que la version b\u00eata est sortie le m\u00eame jour que le lancement officiel du jeu et au moment o\u00f9 nous r\u00e9digeons cet article, le programme a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 plus de 1 000 fois. Certains utilisateurs ont m\u00eame laiss\u00e9 des commentaires et disent que cette version b\u00eata n\u2019est pas si mauvaise.<\/p>\n

\"Des

Des airs de Google Play<\/p><\/div>\n

M\u00eame si sur le site l\u2019application semble peser 3,4 GB le fichier est inf\u00e9rieur \u00e0 3 Mo. Les d\u00e9veloppeurs ont-ils aussi invent\u00e9 un genre de technologie futuriste de compression des fichiers ? Pas vraiment.<\/p>\n

\u00c0 l\u2019\u00e9tape suivante, lors du premier lancement, la fausse version b\u00eata demande \u00e0 avoir acc\u00e8s aux fichiers. En th\u00e9orie, une application pourrait avoir besoin de certains fichiers pour sauvegarder ou ouvrir quelque chose, mais aucun jeu n\u2019a besoin de vos photos ou de vos vid\u00e9os pour pouvoir se charger. Pourtant, cette application ne fonctionne pas sans cette autorisation.<\/p>\n

Par contre, si un utilisateur lui donne l\u2019autorisation, il va recevoir une demande de ran\u00e7on et ce n\u2019est pas vraiment le jeu auquel il s\u2019attendait.<\/p>\n

\"Pourquoi

Pourquoi un jeu a-t-il besoin d\u2019acc\u00e9der \u00e0 vos fichiers ? Pour les chiffrer bien \u00e9videmment !<\/p><\/div>\n

Le message est \u00e9crit dans un anglais peu correct et il informe la victime que tous ses selfies et autres fichiers importants ont \u00e9t\u00e9 chiffr\u00e9s. Pour les r\u00e9cup\u00e9rer, les cybercriminels lui demandent de payer une ran\u00e7on de 500 dollars en bitcoin dans les 24 heures (ou 10 heures puisque les deux figurent). Quoi qu\u2019il en soit, le message ne s\u2019arr\u00eate pas l\u00e0 et explique que si la victime ne paie pas \u00e0 temps, le malware va d\u00e9finitivement tout effacer.<\/p>\n

Toujours selon ce message, toute tentative de suppression du malware est inutile et entra\u00eenera la perte des fichiers.<\/p>\n

Est-il possible de r\u00e9cup\u00e9rer les fichiers chiffr\u00e9s ?<\/h2>\n

Nous avons essay\u00e9 pour voir ce qui arrive vraiment aux fichiers de l\u2019appareil infect\u00e9. Les fichiers sont effectivement chiffr\u00e9s et affichent l\u2019extension .coderCrypt. De plus, le malware ajoute un fichier README.txt, la demande de ran\u00e7on, dans chaque dossier.<\/p>\n

\"Le

Le faux Cyberpunk 2077 pour Android chiffre les fichiers \u2014 ses cr\u00e9ateurs ne mentent pas sur ce point<\/p><\/div>\n

En revanche, les fichiers sont r\u00e9cup\u00e9rables puisque le malware utilise l\u2019algorithme de chiffrement sym\u00e9trique RC4<\/a>. La partie sym\u00e9trique signifie que la m\u00eame cl\u00e9 chiffre et d\u00e9chiffre les fichiers. Dans ce cas, la cl\u00e9 est cod\u00e9e en dur dans l\u2019application et dans tous les \u00e9chantillons que nous avons trouv\u00e9s elle appara\u00eet de cette fa\u00e7on : 21983453453435435738912738921.<\/p>\n

Comme le RC4 est assez courant, vous pouvez \u00e9ventuellement r\u00e9cup\u00e9rer les fichiers vous-m\u00eames en utilisant, par exemple, un service de d\u00e9chiffrement RC4 en ligne ou en contactant l\u2019assistance Kaspersky pour les particuliers. De plus, le d\u00e9lai de 24 ou 10 heures est compl\u00e8tement inutile dans la version du malware que nous avons analys\u00e9e. Le ransomware ne supprime rien et son code ne contient pas de fonction lui permettant de le faire.<\/p>\n

Cela \u00e9tant dit, vous devriez prendre le temps de faire une copie des fichiers chiffr\u00e9s avant d\u2019essayer de les restaurer juste au cas o\u00f9 l\u2019outil de r\u00e9cup\u00e9ration \u00e9choue.<\/p>\n\n

Ransomware de Cyberpunk 2077 : version Windows<\/h2>\n

Malheureusement, il n\u2019est pas toujours facile de r\u00e9cup\u00e9rer les fichiers chiffr\u00e9s par un ransomware. Par exemple, les auteurs de la fausse version b\u00eata Cyberpunk 2077 pour Android distribuent aussi un ransomware pour Windows<\/a> qui se fait passer pour le jeu. En revanche, dans ce cas, la cl\u00e9 n\u2019est pas chiffr\u00e9e en dur dans l\u2019application. Elle est g\u00e9n\u00e9r\u00e9e au hasard lors de chaque infection pour que les victimes ne puissent pas facilement d\u00e9chiffrer les fichiers affect\u00e9s.<\/p>\n

\"La

La demande de ran\u00e7on demande aux utilisateurs Windows de payer 1 000 dollars en bitcoin pour d\u00e9chiffrer les fichiers<\/p><\/div>\n

Devriez-vous payer ?<\/h2>\n

Au moment o\u00f9 nous r\u00e9digeons cet article, plus de 8 000 dollars<\/a> en bitcoin ont \u00e9t\u00e9 vir\u00e9s sur le portefeuille des cybercriminels. En attendant, rien ne garantit<\/a> que les fichiers vont \u00eatre r\u00e9cup\u00e9r\u00e9s. Les cr\u00e9ateurs du ransomware peuvent tout simplement dispara\u00eetre avec l\u2019argent ou en demander plus puisque les victimes paient. Par cons\u00e9quent, nous vous d\u00e9conseillons fortement de payer la ran\u00e7on.<\/p>\n

Les experts de Kaspersky aident les victimes de ransomwares en \u00e9tudiant le code malveillant et en trouvant une fa\u00e7on de d\u00e9chiffrer les fichiers. En d\u2019autres termes, nous \u00e9crivons gratuitement des outils de d\u00e9chiffrement. La plupart d\u2019entre eux se trouve sur le site NoMoreRansom<\/a>, cr\u00e9\u00e9 sp\u00e9cialement pour faire face \u00e0 ces attaques, ou sur notre site d\u2019assistance<\/a>. Si vous \u00eates victime d\u2019un ransomware, ces ressources devraient \u00eatre les premi\u00e8res \u00e0 utiliser. M\u00eame s\u2019il n\u2019y a pour le moment aucun outil de d\u00e9chiffrement permettant de r\u00e9soudre votre probl\u00e8me, il est fort probable qu\u2019il y en ait un en temps voulu.<\/p>\n

Comment se prot\u00e9ger des ransomwares<\/h2>\n

\u00c9videmment, la meilleure solution est d\u2019\u00e9viter les ransomwares, m\u00eame si le ransomware tente de vous s\u00e9duire en se faisant passer pour un jeu \u00e0 la mode. Pour vous prot\u00e9ger, il vous suffit de suivre les quelques r\u00e8gles \u00e9l\u00e9mentaires d\u2019hygi\u00e8ne num\u00e9rique.<\/p>\n